¶ Архитектура ПО контроллера
¶ Состав и функционал
Программное обеспечение контроллера представляет собой модульную систему и включает в себя следующие компоненты:
- Драйверы промышленных протоколов - преобразуют данные от полевых устройств, устройств среднего уровня в протокол MQTT.
- Брокер сообщений MQTT - является информационной шиной внутри контроллера для обмена сообщениями между сервисами и драйверами.
- Агент АС «Андромеда» - обеспечивает связь физического или виртуального контроллера на объекте с облачной платформой АС «Андромеда».
.png)
Архитектура программного обеспечения контроллера
¶ Модули ПЛК
¶ 1. Драйвер Modbus2mqtt
Специализированный модуль для работы с устройствами по протоколу Modbus RTU/RTU-over-TCP/TCP.
Основные функции:
- Опрос ПЛК среднего уровня, устройств локальной автоматики, модулей ввода-вывода, датчиков с поддержкой цифровых каналов связи;
- Преобразование значений регистров Modbus в сообщения MQTT;
- Публикация и подписка на команды управления через локальный MQTT брокер.
¶ 2. Драйвер Bacnet2mqtt
Специализированный модуль для работы с устройствами по протоколу BACnet/IP.
Основные функции:
- Опрос подключенных BACnet-устройств (контроллеры ОВК, датчики, исполнительные механизмы);
- Преобразование считанных/полученных свойств BACnet (Object Properties) в сообщения MQTT;
- Обмен данными и командами через локальный MQTT брокер.
¶ 3. Драйвер Opcua2mqtt
Специализированный модуль для работы с устройствами по протоколу OPC UA (клиент).
Основные функции:
- Подключение к OPC UA-серверам промышленных контроллеров и SCADA-систем;
- Периодический опрос и подписка на изменение переменных (тегов) в адресном пространстве сервера;
- Преобразование считанных значений и атрибутов OPC UA-узлов в сообщения MQTT (JSON);
- Обмен данными и командами через локальный MQTT брокер.
¶ 3. Локальный MQTT брокер
Внутренний брокер сообщений на базе Eclipse Mosquitto или аналогов.
Основные функции:
- Обмен сообщениями между драйверами и Агентом АС «Андромеда»;
- Интеграция с локальными системами автоматизации (например Node-RED);
- Создание мостовых соединений (bridge) для интеграции со сторонними сервисами и системами.
¶ 4. Агент
Основной управляющий модуль, обеспечивающий связь между объектом и АС «Андромеда».
Основные функции:
- Обеспечение связанности объекта с облачной платформой АС «Андромеда»;
- Нормализацию данных и буферизация данных (при временной потери связи);
- Обработка команд управления от облачной платформы АС «Андромеда».
¶ Модули облачной платформы
-
Глобальный брокер: обеспечивает связь c Агентами на всех объектах и передачу данных в инстанс АС «Андромеда».
-
Инстанс АС «Андромеда»: Облачная платформа, выполняющая комплекс функций:
- Хранение и обработка данных - агрегация, анализ и долгосрочное хранение данных;
- Управление оборудованием - формирование и маршрутизация управляющих команд для устройств;
- Визуализация и интерфейсы - Предоставление пользовательского интерфейса для мониторинга данных (дашборды, графики, отчеты), интеграция с внешними системами;
- Безопасность и контроль доступа - управление доступом, ролевая модель;
- Автоматизация - выполнение сценариев и правил обработки событий.
¶ Требования к аппаратному обеспечению
Под количеством параметров принято общее количество данных, передаваемых с объекта.
¶ Программно-аппаратные требования для установки ПО АС «Андромеда»
¶ До 2000 параметров
Минимальные требования:
- Архитектура: ARM64, ARM, AMD64, ARMEL, ARMHF;
- Процессор: многоядерный с частотой на 1 ядро не менее 1.0 ГГц;
- Оперативная память (RAM): не менее 512 Мбайт;
- Внутренний накопитель: не менее 8 Гбайт;
- Операционная система: Armbian 23+, Debian 11+, Ubuntu 20+, OpenWRT 23+.
¶ От 2000 до 5000 параметров
Минимальные требования:
- Архитектура: ARM64, AMD64;
- Процессор: многоядерный с частотой на 1 ядро не менее 1.5 ГГц;
- Оперативная память (RAM): не менее 1 Гбайт;
- Внутренний накопитель: не менее 8 Гбайт;
- Операционная система: Armbian 23+, Debian 11+, Ubuntu 20+, OpenWRT 23+.
¶ От 5000 до 15000 параметров
Минимальные требования:
- Архитектура: x86-64;
- Процессор: с количеством ядер от 4 и частотой от 2.4 ГГц;
- Оперативная память (RAM): не менее 8 Гбайт;
- Внутренний накопитель: HDD 1TB + SSD 512GB;
- Операционная система: Debian 11+, Ubuntu 20+.
¶ От 15000 до 30000 параметров
Минимальные требования:
- Архитектура: x86-64;
- Процессор: с количеством ядер от 6 и частотой от 2.8 ГГц;
- Оперативная память (RAM): не менее 16 Гбайт;
- Внутренний накопитель: HDD 1TB + SSD 1TB;
- Операционная система: Debian 11+, Ubuntu 20+.
¶ Свыше 30000 параметров
Характеристики уточняются индивидуально. Обратитесь к вендору программного обеспечения «Андромеда».
¶ Примеры вендоров (до 5000 параметров)
| Модель | Процессор | Оперативная память | Внутренний накопитель | Операционная система | Рекомендуемый диапазон |
|---|---|---|---|---|---|
| WirenBoard 8 | ARM Cortex-A53 (4 ядра, 1,15 ГГц) | 4 Гб LPDDR4 | 64 Гбайт eMMC | Linux (Debian/Ubuntu) | До 5000 параметров |
| JetHome JetHub D1+ | ARM Cortex-A53 (4 ядра, 1,15 ГГц) | 2 Гб LPDDR4 | 32 Гбайт eMMC | Linux (Debian/Ubuntu) | До 2000 параметров |
¶ Дополнительные требования
- MQTT Broker: Mosquitto ≥ 2.0.20 / NanoMQ ≥ 0.24.2 / аналоги (рассматриваются отдельно);
- Обязательные пакеты ОС: ca-certificates, systemd.
¶ Особенности виртуализации
При развертывании на виртуальных машинах требования к ресурсам соответствуют указанным выше диапазонам параметров. Рекомендуется резервировать дополнительную память для стабильной работы гипервизора.
¶ Безопасность
¶ Обеспечение безопасности на контроллерах
АС «Андромеда» обеспечивает высокие стандарты кибербезопасности контроллеров и серверов сбора данных на объекте. Для обеспечения безопасности применяются следующие механизмы:
- Работа технического персонала от непривилегированного пользователя;
- Ограничение доступа по SSH;
- Отключение неиспользуемых сервисов;
- Изменение портов для стандартных служб и сервисов;
- Использование firewall для ограничения сетевого взаимодействия;
- Любые логины/пароли не хранятся в открытом виде;
- Интеграция в SoC заказчика.
¶ Защита каналов связи
Защита канала передачи данных обеспечивается путем построения OpenVPN-туннелей в следующих режимах:
- P2P (point-to-point) - для защищенного соеднения между контроллером и VPN-сервером.
- Subnet - для сегментированного доступа пользователей к оборудованию объектов.
Сегментированный доступ пользователей (Subnet-режим)
Данный режим предназначен для предоставления контролируемого доступа персоналу:
- Специалистам компании-интегратора;
- Инженерно-техническим сотрудникам закзачика с удаленных рабочих местю
Каждому объекту инфраструктуры выделяется собственная изолированная подсеть IP-адресов. Это позволяет логически разделять оборудование и обеспечивать доступ только к разрешенным сегментам сети.
Все контроллеры и серверы сбора данных группируются по принадлежности к организации и конкретному объекту. Архитектура системы поддерживает дальнейшую, более детальную сегментацию внутри организации или объекта, что может потребоваться:
- При разграничении балансовой принадлежности активов;
- Для соблюдения особых требований кибербезопасности эксплутарирующей организации.
¶ Механизмы безопасности
- Двухфакторная аутентификация:
- Для контроллеров: связка «неотчуждаемый сертификат» и «логин/пароль»;
- Для пользователей: «логин/пароль» + «OTP-код».
- Индивидуальные VPN-профили:
- Конфигурацию сервера (IP адрес / порт / маршруты / DNS-сервер);
- Ключи шифрования;
- Сертификат TLS.
- Дополнительное шифрование:
- Трафик к облачной платформе АС «Андромеда» передается по протоколу MQTTS (TLS).
Схема защиты каналов передачи данных
Уровни безопасности OpenVPN
| Уровень | Технология | Защита от |
|---|---|---|
| Аутентификация | Сертификаты х509v3 | Несанкционированных подключений |
| Шифрование данных | AES-256 | Перехвата данных |
| Целостность данных | HMAC - SHA512 | Изменения/подмены пакетов данных |
¶ Техническая документация
Платформа АС «Андромеда» сопровождается полным комплектом технической документации и специализированными инструментами. Этот набор позволяет партнерам и инженерам заказчика эффективно выполнять интеграцию, настройку и управление периферийными контроллерами.
Стандартный комплект включает: